BDU:2022-07374

Опубликовано: 29 нояб. 2022

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения продуктов Festo связана с недостаточной технической документацией. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Festo SE & Co. KG

Наименование ПО

Bus module CPX-E-EP

Bus module CPX-E-PN

Bus node CPX-FB32

Bus node CPX-FB33

Bus node CPX-FB36

Bus node CPX-FB37

Bus node CPX-FB39

Bus node CPX-FB40

Bus node CPX-FB43

Bus node CPX-M-FB34

Bus node CPX-M-FB35

Bus node CPX-M-FB44

Bus node CPX-M-FB45

Bus node CTEU-EP

Bus node CTEU-PN

Bus node CTEU-PN-EX1C

Festo CHB-C-N

Festo SBO*-C-*

Festo SBO*-M-*

Festo SBO*-Q-*

Control block CPX-CEC-C1

Festo CPX-CEC

Control block CPX-CMXX

Festo CPX-CEC-C1-V3

Festo CPX-CEC-M1

Festo CPX-CEC-M1-V3

Festo CPX-CEC-S1-V3

Festo CPX-FEC-1-IE

Festo CECC-D

Festo CECC-D-BA

Festo CECC-LK

Festo CECC-S

Festo CECC-X

Festo CECX-X-C1

Festo CECX-X-M1

Festo CMXH-ST2-C5-7-DIOP

Festo CPX-E-CEC

Festo SBRD-Q

EtherNet/IP interface CPX-AP-I-EP-M12

EtherNet/IP interface CPX-AP-I-PN-M12

Gateway CPX-IOT

Festo EMCA-EC-67

Festo CMMO-ST-C5-1-DION

Festo CMMO-ST-C5-1-DIOP

Festo CMMO-ST-C5-1-LKP

Festo CMMP-AS

Festo CMMT-AS

Festo CDPX-XAS-10

Festo CDPX-XAW-13

Festo CDPX-XAW-4

Festo CDPX-XAW-7

Planar surface gantry EXCM

Festo CMMT-ST-C8-1C-EP-S0

Festo CMMT-ST-C8-1C-PN-S0

Festo VTEM-S1

Версия ПО

- (Bus module CPX-E-EP)

- (Bus module CPX-E-PN)

- (Bus node CPX-FB32)

- (Bus node CPX-FB33)

- (Bus node CPX-FB36)

- (Bus node CPX-FB37)

- (Bus node CPX-FB39)

- (Bus node CPX-FB40)

- (Bus node CPX-FB43)

- (Bus node CPX-M-FB34)

- (Bus node CPX-M-FB35)

- (Bus node CPX-M-FB44)

- (Bus node CPX-M-FB45)

- (Bus node CTEU-EP)

- (Bus node CTEU-PN)

- (Bus node CTEU-PN-EX1C)

- (Festo CHB-C-N)

- (Festo SBO*-C-*)

- (Festo SBO*-M-*)

- (Festo SBO*-Q-*)

- (Control block CPX-CEC-C1)

- (Festo CPX-CEC)

- (Control block CPX-CMXX)

- (Festo CPX-CEC-C1-V3)

- (Festo CPX-CEC-M1)

- (Festo CPX-CEC-M1-V3)

- (Festo CPX-CEC-S1-V3)

- (Festo CPX-FEC-1-IE)

- (Festo CECC-D)

- (Festo CECC-D-BA)

- (Festo CECC-LK)

- (Festo CECC-S)

- (Festo CECC-X)

- (Festo CECX-X-C1)

- (Festo CECX-X-M1)

- (Festo CMXH-ST2-C5-7-DIOP)

- (Festo CPX-E-CEC)

- (Festo SBRD-Q)

- (EtherNet/IP interface CPX-AP-I-EP-M12)

- (EtherNet/IP interface CPX-AP-I-PN-M12)

- (Gateway CPX-IOT)

- (Festo EMCA-EC-67)

- (Festo CMMO-ST-C5-1-DION)

- (Festo CMMO-ST-C5-1-DIOP)

- (Festo CMMO-ST-C5-1-LKP)

- (Festo CMMP-AS)

- (Festo CMMT-AS)

- (Festo CDPX-XAS-10)

- (Festo CDPX-XAW-13)

- (Festo CDPX-XAW-4)

- (Festo CDPX-XAW-7)

- (Planar surface gantry EXCM)

- (Festo CMMT-ST-C8-1C-EP-S0)

- (Festo CMMT-ST-C8-1C-PN-S0)

- (Festo VTEM-S1)

Тип ПО

ПО программно-аппаратного средства АСУ ТП

Средство АСУ ТП

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- обновление документации технического руководства пользователя;

- ограничение доступа к оборудованию из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования;

- использование VPN для организации удаленного доступа;

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- применение системы разграничения доступа;

- использование зашифрованных каналов связи;

- использование артивирусных средст защиты;

- ограничение доступа как к системе разработки, так и к системе управления физическими средствами, функциями операционной системы.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://cert.vde.com/en/advisories/VDE-2022-041/

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-3270
CVE

EPSS

Процентиль: 76%

0.00955

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-3270

CVSS3: 9.8

nvd

около 3 лет назад

In multiple products by Festo a remote unauthenticated attacker could use functions of an undocumented protocol which could lead to a complete loss of confidentiality, integrity and availability.

GHSA-v7vr-mf26-79cm

CVSS3: 9.8

github

около 3 лет назад

In multiple products by Festo a remote unauthenticated attacker could use functions of an undocumented protocol which could lead to a complete loss of confidentiality, integrity and availability.

EPSS

Процентиль: 76%

0.00955

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2